Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Маскировка уровня «так себе». Group-IB нашла новые следы крупнейшего теневого провайдера

leer en español

ShadowSyndicate Group-IB Intrinsec OpenSSH SSH-отпечатки инфраструктура вымогательское ПО
Маскировка уровня «так себе». Group-IB нашла новые следы крупнейшего теневого провайдера
ShadowSyndicate Group-IB Intrinsec OpenSSH SSH-отпечатки инфраструктура вымогательское ПО

Одно неверное движение, и схема начала разваливаться по швам.

image

За кулисами многих вымогательских атак остаётся незаметная, но важная часть экосистемы киберпреступности — инфраструктура, которая помогает злоумышленникам быстро разворачивать инструменты и менять площадки. Новый разбор Group-IB показывает, что кластер активности ShadowSyndicate продолжает развиваться, сохраняя узнаваемые технические привычки и одновременно усложняя маскировку связей между серверами.

ShadowSyndicate объединяет разные кампании за счёт пересечений инфраструктуры. Авторы отчёта отмечают, что участники кластера активно используют OpenSSH и обычно опираются на повторяющиеся SSH-отпечатки, которые позволяют связывать между собой большое число серверов. Ранее Group-IB описывала один из таких отпечатков, а команда Intrinsec позже сообщила ещё об одном похожем. В новой работе Group-IB подтверждает ещё два дополнительных SSH-отпечатка, которые тоже многократно встречались на разных узлах и формировали отдельные серверные кластеры.

Ключевым новым наблюдением стала тактика повторного использования уже задействованной инфраструктуры с переносом серверов между «SSH-кластерами». Внешне это может выглядеть как обычная смена владельца, но ошибки в операционной безопасности приводили к пересечению ключей и помогали доказать связь между «старым» и «новым» использованием ресурсов. По оценке Group-IB, как минимум два десятка серверов применялись в роли управляющих узлов для различных фреймворков.

В обнаруженной инфраструктуре фиксировались следы наборов инструментов, которые часто встречаются в атаках после первичного проникновения, включая Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent и Brute Ratel. Кроме того, телеметрия связывает часть серверов с активностью партнёров или групп, работающих с вымогательским ПО. В анализируемых кластерах упоминаются пересечения с операциями Cl0p, ALPHV BlackCat, Black Basta, Ryuk и MalSmoke, при этом для отдельных связей уровень уверенности оценивается как низкий из-за недостатка одновременных технических признаков.

Несмотря на расширение набора отпечатков и появление новой схемы «перетасовки» серверов, предпочтения по хостинг-провайдерам у ShadowSyndicate, по данным авторов, остаются довольно стабильными. Это делает инфраструктурные шаблоны более предсказуемыми для корреляции и раннего выявления. При этом окончательная роль ShadowSyndicate в криминальной цепочке всё ещё не подтверждена, Group-IB рассматривает версии о работе как брокера первичного доступа или как поставщика «непробиваемого» хостинга для других участников рынка.